Appareils FIPS MPX 9700/10500/12500/15500
Important ! La plate-forme FIPS MPX 9700/10500/12500/15500 est en fin de vie.
Le Federal Information Processing Standard (FIPS), publié par le National Institute of Standards and Technologies des États-Unis, précise les exigences de sécurité d’un module cryptographique utilisé dans un système de sécurité. L’appliance NetScaler FIPS est conforme à la deuxième version de cette norme, FIPS-140-2.
Remarque : Désormais, toutes les références à la norme FIPS impliquent la norme FIPS-140-2.
L’appliance FIPS est équipée d’un module cryptographique inviolable (infalsifiable) et d’un Cavium CN1620-NFBE3-2.0-G sur les appareils FIPS MPX 9700/10500/12500/15500, conçus pour se conformer aux spécifications FIPS 140-2 de niveau 2. Les paramètres de sécurité critiques (CSP), principalement la clé privée du serveur, sont stockés et générés de manière sécurisée dans le module cryptographique, également appelé module de sécurité matérielle (HSM). Les CSP ne sont jamais accessibles à l’extérieur des limites du HSM. Seul le superutilisateur peut effectuer des opérations sur les clés stockées dans le HSM.
Le tableau suivant résume les différences entre les appliances NetScaler standard et NetScaler FIPS.
Paramètre | Appliance NetScaler | Appliance NetScaler FIPS |
---|---|---|
Rangement des clés | Sur le disque dur | Sur la carte FIPS |
Support de chiffrement | Tous les chiffrements | Chiffrements approuvés par la FIPS |
Accès aux clés | Depuis le disque dur | Non accessible |
La configuration d’une appliance FIPS implique de configurer le HSM immédiatement après avoir terminé le processus de configuration générique. Vous créez ou importez ensuite une clé FIPS. Après avoir créé une clé FIPS, vous devez l’exporter pour la sauvegarder. Vous devrez peut-être également exporter une clé FIPS afin de pouvoir l’importer dans un autre dispositif. Par exemple, la configuration des appliances FIPS dans une configuration haute disponibilité nécessite le transfert de la clé FIPS du nœud principal vers le nœud secondaire immédiatement après avoir terminé la configuration standard de haute disponibilité.
Vous pouvez mettre à niveau la version du firmware sur la carte FIPS de la version 4.6.0 vers 4.6.1. Vous pouvez également réinitialiser un HSM qui a été verrouillé pour empêcher toute connexion non autorisée. Seuls les chiffrements approuvés par la norme FIPS sont pris en charge sur une appliance NetScaler FIPS.
Configuration du HSM
Avant de pouvoir configurer le HSM de votre appliance NetScaler FIPS, vous devez terminer la configuration matérielle initiale. Pour plus d’informations sur les appliances MPX, voir Configuration initiale. Pour plus d’informations sur les appliances SDX, cliquez ici.
La configuration du HSM de votre appliance NetScaler FIPS efface toutes les données existantes sur le HSM. Pour configurer le HSM, vous devez être connecté à l’appliance en tant que superutilisateur. Le HSM est préconfiguré avec des valeurs par défaut pour le mot de passe du responsable de la sécurité (SO) et le mot de passe utilisateur, que vous utilisez pour configurer le HSM ou réinitialiser un HSM verrouillé. La longueur maximale autorisée pour le mot de passe est de 14 caractères alphanumériques. Les symboles ne sont pas autorisés.
Important : Exécutez la
set ssl fips
commande uniquement après avoir réinitialisé la carte FIPS et redémarré l’appliance MPX FIPS.
Bien que l’appliance FIPS puisse être utilisée avec les valeurs de mot de passe par défaut, vous devez les modifier avant de l’utiliser. Le HSM ne peut être configuré que lorsque vous vous connectez à l’appliance en tant que superutilisateur et que vous spécifiez les mots de passe du SO et de l’utilisateur.
Important : pour des raisons de sécurité, l’appliance ne permet pas de récupérer le mot de passe du système d’exploitation. Conservez une copie du mot de passe en toute sécurité. Si vous devez réinitialiser le HSM, vous devez spécifier ce mot de passe en tant qu’ancien mot de passe SO.
Avant d’initialiser le HSM, vous pouvez effectuer une mise à niveau vers la dernière version du logiciel. Pour effectuer une mise à niveau vers la dernière version, reportez-vous à la section Mise à niveau ou rétrogradation du logiciel système.
Après la mise à niveau, vérifiez que le /nsconfig/fips
répertoire a été créé avec succès sur l’appliance.
Configurez le HSM sur la plate-forme FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface de ligne de commande
Une fois connecté à l’appliance en tant que superutilisateur et terminé la configuration initiale, saisissez les commandes suivantes à l’invite de commandes pour configurer le HSM et vérifier la configuration :
show ssl fips
reset ssl fips
reboot
set ssl fips -initHSM Level-2 <newSOpassword> <oldSOpassword> <userPassword> [-hsmLabel <string>]
save ns config
reboot
show ssl fips
<!--NeedCopy-->
Exemple :
show fips
FIPS Card is not configured
Done
reset fips
reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y
set ssl fips -initHSM Level-2 sopin12345 so12345 user123 -hsmLabel cavium
This command will erase all data on the FIPS card. You must save the configuration
(saveconfig) after executing this command.
Do you want to continue?(Y/N)y
Done
save ns config
reboot
Are you sure you want to restart NetScaler (Y/N)? [N]:y
show fips
FIPS HSM Info:
HSM Label : NetScaler FIPS
Initialization : FIPS-140-2 Level-2
HSM Serial Number : 2.1G1008-IC000021
HSM State : 2
HSM Model : NITROX XL CN1620-NFBE
Firmware Version : 1.1
Firmware Release Date : Jun04,2010
Max FIPS Key Memory : 3996
Free FIPS Key Memory : 3994
Total SRAM Memory : 467348
Free SRAM Memory : 62564
Total Crypto Cores : 3
Enabled Crypto Cores : 1
Done
Note: If you upgrade the firmware to version 2.2, the firmware release date is replaced with the firmware build.
> show fips
FIPS HSM Info:
HSM Label : NetScaler FIPS
Initialization : FIPS-140-2 Level-2
HSM Serial Number : 3.0G1235-ICM000264
HSM State : 2
HSM Model : NITROX XL CN1620-NFBE
Hardware Version : 2.0-G
Firmware Version : 2.2
Firmware Build : NFBE-FW-2.2-130009
Max FIPS Key Memory : 3996
Free FIPS Key Memory : 3958
Total SRAM Memory : 467348
Free SRAM Memory : 50524
Total Crypto Cores : 3
Enabled Crypto Cores : 3
Done
<!--NeedCopy-->
Configurez le HSM sur la plate-forme FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface graphique
-
Accédez à Gestion du trafic > SSL > FIPS.
-
Dans le volet d’informations, dans l’ onglet Informations FIPS, cliquez sur Réinitialiser la norme FIPS.
-
Dans le volet de navigation, cliquez sur Système.
-
Dans le volet d’informations, cliquez sur Redémarrer.
-
Dans le volet d’informations, sous l’onglet Informations FIPS, cliquez sur Initialiser le HSM.
-
Dans la boîte de dialogue Initialiser le HSM, spécifiez les valeurs des paramètres suivants :
- Mot de passe du responsable de la sécurité (SO) * : nouveau mot de passe SO
- Ancien mot de passe SO* : ancien mot de passe SO
- Mot de passe utilisateur* : mot de passe utilisateur
- Niveau : inithsm (actuellement défini sur le niveau 2 et ne peut pas être modifié)
- Étiquette HSM — Étiquette HSM
*Paramètre obligatoire
-
Cliquez sur OK.
-
Dans le volet d’informations, cliquez sur Enregistrer.
-
Dans le volet de navigation, cliquez sur Système.
-
Dans le volet d’informations, cliquez sur Redémarrer.
-
Sous Informations sur le HSM FIPS, vérifiez que les informations affichées sont correctes pour le HSM FIPS que vous avez configuré.
Création et transfert de clés FIPS
Après avoir configuré le HSM de votre appliance FIPS, vous êtes prêt à créer une clé FIPS. La clé FIPS est créée dans le HSM de l’appliance. Vous pouvez ensuite exporter la clé FIPS vers la carte CompactFlash de l’appliance en tant que sauvegarde sécurisée. L’exportation de la clé vous permet également de la transférer en la copiant vers /flash d’une autre appliance, puis en l’important dans le HSM de cette appliance. Activez la carte SIM entre deux nœuds autonomes avant d’exporter et de transférer les clés. Dans une configuration haute disponibilité, si l’un des nœuds est remplacé par un nouveau, vous devez effectuer les opérations suivantes :
- Activez la carte SIM entre cette nouvelle appliance et l’appliance existante de la configuration haute disponibilité.
- Exportez ou importez des clés FIPS.
Au lieu de créer une clé FIPS, vous pouvez importer une clé FIPS existante ou importer une clé externe en tant que clé FIPS. Si vous ajoutez une paire de clés de certificat de 2048 bits sur les appliances FIPS MPX 9700/10500/12500/15500, assurez-vous d’avoir le bon certificat et la bonne paire de clés.
Remarque : Si vous prévoyez une configuration haute disponibilité, assurez-vous que les appliances FIPS sont configurées dans une configuration haute disponibilité avant de créer une clé FIPS.
Créer des clés FIPS
Avant de créer une clé FIPS, assurez-vous que le HSM est configuré.
Spécifiez le type de clé (RSA ou ECDSA) et spécifiez la courbe des clés ECDSA.
Créer une clé FIPS à l’aide de l’interface graphique
- Accédez à Gestion du trafic > SSL > FIPS.
- Dans le volet d’informations, sous l’onglet Clés FIPS, cliquez sur Ajouter.
-
Dans la boîte de dialogue Créer une clé FIPS, spécifiez les valeurs des paramètres suivants :
- Nom de clé FIPS* : nom de clé FIPSKey
- Module* : module
- Exposant* : exposant
*Paramètre obligatoire
- Cliquez sur Créer, puis sur Fermer.
- Sous l’onglet Touches FIPS, vérifiez que les paramètres affichés pour la clé FIPS que vous avez créée sont corrects.
Créer une clé FIPS à l’aide de l’interface de ligne de commande
À l’invite de commandes, saisissez les commandes suivantes pour créer une clé FIPS et vérifier les paramètres :
create ssl fipsKey <fipsKeyName> -modulus <positive_integer> [-exponent ( 3 | F4 )]
show ssl fipsKey [<fipsKeyName>]
<!--NeedCopy-->
Exemple :
create fipskey Key-FIPS-1 -keytype RSA -modulus 2048 -exponent 3
show ssl fipsKey Key-FIPS-1
FIPS Key Name: Key-FIPS-1 Key Type: RSA Modulus: 2048 Public Exponent: F4 (Hex: 0x10001)
<!--NeedCopy-->
Exporter des clés FIPS
Citrix vous recommande de créer une sauvegarde de toute clé créée dans le HSM FIPS. Si une clé du HSM est supprimée, il est impossible de créer à nouveau la même clé et tous les certificats qui y sont associés deviennent inutiles.
Outre l’exportation d’une clé en tant que sauvegarde, vous devrez peut-être exporter une clé pour le transfert vers une autre appliance.
La procédure suivante fournit des instructions sur l’exportation d’une clé FIPS vers le /nsconfig/ssl
dossier du CompactFlash de l’appliance et sur la sécurisation de la clé exportée à l’aide d’une méthode de chiffrement à clé asymétrique forte.
Exportation d’une clé FIPS à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
export ssl fipsKey <fipsKeyName> -key <string>
<!--NeedCopy-->
Exemple :
export fipskey Key-FIPS-1 -key Key-FIPS-1.key
<!--NeedCopy-->
Exporter une clé FIPS à l’aide de l’interface graphique
-
Accédez à Gestion du trafic > SSL > FIPS.
-
Dans le volet d’informations, sous l’onglet Clés FIPS, cliquez sur Exporter.
-
Dans la boîte de dialogue Exporter la clé FIPS vers un fichier, spécifiez les valeurs des paramètres suivants :
- Nom de clé FIPS* : nom de clé FIPSKey
- Nom du fichier* : touche (Pour placer le fichier à un emplacement autre que celui par défaut, vous pouvez spécifier le chemin d’accès complet ou cliquer sur le bouton Parcourir et accéder à un emplacement.)
*Paramètre obligatoire
-
Cliquez sur Exporter, puis sur Fermer.
Importer une clé FIPS existante
Pour utiliser une clé FIPS existante avec votre appliance FIPS, vous devez transférer la clé FIPS du disque dur de l’appliance vers son HSM.
Remarque : Pour éviter les erreurs lors de l’importation d’une clé FIPS, assurez-vous que le nom de la clé importée est identique au nom de clé d’origine lors de sa création.
Importez une clé FIPS sur les appliances FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface de ligne de commande
À l’invite de commandes, saisissez les commandes suivantes pour importer une clé FIPS et vérifier les paramètres :
- import ssl fipsKey <fipsKeyName> -key <string> -inform SIM -exponent (F4 | 3)
- show ssl fipskey <fipsKeyName>
<!--NeedCopy-->
Exemple :
import fipskey Key-FIPS-2 -key Key-FIPS-2.key -inform SIM -exponent F4
show ssl fipskey key-FIPS-2
FIPS Key Name: Key-FIPS-2 Modulus: 2048 Public Exponent: F4 (Hex value 0x10001)
<!--NeedCopy-->
Importer une clé FIPS à l’aide de l’interface graphique
-
Accédez à Gestion du trafic > SSL > FIPS.
-
Dans le volet d’informations, sous l’onglet Clés FIPS, cliquez sur Importer.
-
Dans la boîte de dialogue Importer en tant que clé FIPS, sélectionnez le fichier de clé FIPS et définissez les valeurs des paramètres suivants :
- Nom de la clé FIPS*
- Nom du fichier clé* : pour placer le fichier dans un emplacement autre que celui par défaut, vous pouvez spécifier le chemin d’accès complet ou cliquer sur Parcourir et accéder à un emplacement.
- Exposant*
*Paramètre obligatoire
-
Cliquez sur Importer, puis cliquez sur Fermer.
-
Sous l’onglet Touches FIPS, vérifiez que les paramètres affichés pour la clé FIPS que vous avez importée sont corrects.
Importer une clé externe
Vous pouvez transférer les clés FIPS créées dans le HSM de l’appliance NetScaler. Vous pouvez également transférer des clés privées externes (telles que des clés créées sur un NetScaler, Apache ou IIS standard) vers une appliance NetScaler FIPS. Les clés externes sont créées en dehors du HSM, à l’aide d’un outil tel qu’OpenSSL. Avant d’importer une clé externe dans le HSM, copiez-la sur le lecteur flash de l’appliance sous /nsconfig/ssl
.
Sur les appliances FIPS MPX 9700/10500/12500/15500, le paramètre -exponent de la import ssl fipskey
commande n’est pas requis lors de l’importation d’une clé externe. L’exposant public correct est détecté automatiquement lorsque la clé est importée et la valeur du paramètre -exponent est ignorée.
L’appliance NetScaler FIPS ne prend pas en charge les clés externes avec un exposant public autre que 3 ou F4.
Vous n’avez pas besoin de clé d’encapsulation sur les appliances FIPS MPX 9700/10500/12500/15500.
Vous ne pouvez pas importer une clé FIPS cryptée externe directement vers une appliance FIPS MPX 9700/10500/12500/15500. Pour importer la clé, vous devez d’abord la déchiffrer, puis l’importer. Pour déchiffrer la clé, à l’invite du shell, tapez :
openssl rsa -in <EncryptedKey.key> > <DecryptedKey.out>
<!--NeedCopy-->
Remarque : Si vous importez une clé RSA en tant que clé FIPS, Citrix vous recommande de supprimer la clé RSA de l’appliance à des fins de sécurité.
Importez une clé externe en tant que clé FIPS vers une appliance FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface de ligne de commande
- Copiez la clé externe sur le lecteur flash de l’appliance.
-
Si la clé est au format .pfx, vous devez d’abord la convertir au format PEM. À l’invite de commandes, tapez :
convert ssl pkcs12 <output file> -import -pkcs12File <input .pfx file name> -password <password> <!--NeedCopy-->
-
À l’invite de commandes, tapez les commandes suivantes pour importer la clé externe en tant que clé FIPS et vérifier les paramètres :
import ssl fipsKey <fipsKeyName> -key <string> -informPEM show ssl fipskey<fipsKeyName> <!--NeedCopy-->
Exemple :
convert ssl pkcs12 iis.pem -password 123456 -import -pkcs12File iis.pfx
import fipskey Key-FIPS-2 -key iis.pem -inform PEM
show ssl fipskey key-FIPS-2
FIPS Key Name: Key-FIPS-2 Modulus: 0 Public Exponent: F4 (Hex value 0x10001)
<!--NeedCopy-->
Importez une clé externe en tant que clé FIPS vers une appliance FIPS MPX 9700/10500/12500/15500 à l’aide de l’interface graphique
-
Si la clé est au format .pfx, vous devez d’abord la convertir au format PEM.
- Accédez à Gestion du trafic > SSL.
- Dans le volet d’informations, sous Outils, cliquez sur Importer PKCS #12.
- Dans la boîte de dialogue Importer un fichier PKCS12, définissez les paramètres suivants :
- Nom du fichier de sortie*
- Nom du fichier PKCS12* : spécifiez le nom du fichier .pfx.
- Mot de passe d’importation*
- Format d’encodage *Un paramètre obligatoire
-
Accédez à Gestion du trafic > SSL > FIPS.
-
Dans le volet d’informations, sous l’onglet Clés FIPS, cliquez sur Importer.
-
Dans la boîte de dialogue Importer en tant que clé FIPS, sélectionnez le fichier PEM et définissez les valeurs des paramètres suivants :
- Nom de la clé FIPS*
- Nom du fichier clé* : pour placer le fichier dans un emplacement autre que celui par défaut, vous pouvez spécifier le chemin d’accès complet ou cliquer sur Parcourir et accéder à un emplacement.
*Paramètre obligatoire
-
Cliquez sur Importer, puis cliquez sur Fermer.
-
Sous l’onglet Touches FIPS, vérifiez que les paramètres affichés pour la clé FIPS que vous avez importée sont corrects.